- 2015年11月25日
- 事故レポ
事故レポファイル第7回 サーバー統合もほどほどに!
こんにちは。モリイです。いよいよ紅葉の時期ですね。なんで葉っぱが緑から赤になるか知ってるかい?葉っぱの中にあるタンニンが影響しているらしいっすよ。
…スイマセン、どうでもいいっすね。では今週の事故レポ、行きましょう。今週は「1つのサーバの中に複数サービスを入れることの弊害」についてです。
どのような状況だったか
今回の対象は、あるECサイトの運営会社です。
さくらインターネットのVPS(仮想化サーバ)をつかっていたのですが、複数のサーバを運用することはそれなりにコストがかかります。
そこで、「まとめて運用しよう」とコストダウンをしました。具体的にはEC、コーポレートweb、メールの3つを入れて運用していました。さらにwebDavを入れて、ファイルサーバとしても使っていたのです。
サーバそのものは自社で運営をしており、よくある運用パターン、つまり社内のweb担当が居るが、全てを兼任している状態でした。
また、彼はデザイナー出身で、インフラ周りは詳しくありませんでした。
何が起きたか
調査会社は、彼らから「サーバがずっと使えないので、調べてくれ」という依頼を受け、調査をしました。
実はもともとのオーダーはセキュリティではなく店舗とECサイト、ポイントシステムを別に持っていたので、統合したい。という依頼でした。
その依頼の場で「webサイトが動かないんです」と依頼されました。
EC、コーポレートwebなど、ページの閲覧などはできたのですが新規のページ登録やファイルのアップロードが全くできない状態、サービスが止まっているような状態でした。
調査の結果、サーバにログがかなり残っており、ディスク容量が0になっていた影響でサービスが止まっている状態であることが判明しました。
ですが、それが実はラッキーだったのです。
調査でわかったこと
ディスクを圧迫していたのでサービスが止まっているように見えた、これが偶然のラッキーでした。実はログを解析した結果、実際に侵入はされていませんでしたが、外部から不審者がサーバに侵入しようとしていた形跡があることがわかりました。
調査会社はwebが動かない状況を見てディスクが一杯か、負荷が高すぎるのどちらかであると当たりをつけました。
念のためログを調べると、かなりの数アタックされていたことが判明したのです。偶然、ディスクが一杯になっており、サービスが停止していたおかげで、侵入者の攻撃を防ぐことができたのです。
場合によっては全てのデータを盗まれていてもおかしくありませんでした。
どうすべきだったか。
今回のサーバですが、かなりの問題点が潜んでいました。
・複数のサービスが同一のサーバ内に立ち上がっているので、ミドルウェアの情報が全て開示されている状態になっていた。これはセキュリティ上極めて危険。
・SSLの脆弱性修正パッチが当たっていなかった
・ファイルサーバにFTPで接続する際のID、パスワードが簡単すぎた
・暗号化せず、直接平文でサーバとやり取りをしている。パスワードを盗まれる可能性がある
など、脆弱性を軽く診断すると、「危険度高」、つまり致命的な脆弱性だけでも6つ発見され。いままでこのサーバが乗っ取られずに生き残っていたのが奇跡と呼べるくらいの状態でした。
また、他に使っている社内のサーバもこの機会にあわせて調査したところ、在庫管理、経理、すべて、簡易的なIDパスで運営されており、同じような状態であることが判明しました。
対策は?
対策と言っても基本的なことばかりです。アクセスできる端末のIP制限、およびIDパスを複雑なものに変えることです。
ですが、根本的な対策は、あまりにもサーバを統合しすぎている状態です。
セキュリティ上は、サーバは一つ一つ別にしたほうが良いのは間違いありません。とくにwebに公開しないで良い資産は、webにしないのは鉄則です。
Webサーバはできるだけ単独。容量がおおいからといって他の用途に使わないほうが良いでしょう。最低限、メールサーバは別にすべきです。
モリイコウジから一言
リニアモーターカー知ってるかい?
あれは磁力で浮くんだぜ
ピップエレキバンしってるかい?
あれは磁力のチカラで肩こりをほぐすんだよ。
因みに私も先日、液晶テレビに業務用の強力な磁石をくっつけてみました。…映像が歪むんです。テレビがムラサキに。
発見しました。テレビに磁石は近づけたらあかん。そういうことです。